链上安全公司 Blockaid 和 PeckShield 披露,Wasabi Protocol 管理密钥遭遇攻破,导致其永续金库及 LongPool 在以太坊、Base、Berachain 和 Blast 四大公链上共计被盗超 500 万美元资产。
黑客通过协议部署者钱包获取了 ADMIN_ROLE 权限,随后将金库智能合约升级为恶意版本,直接转移用户资金。截止目前被盗金额约为 455 万美元,相关调查仍在持续进行中。
单一私钥安全失守酿成漏洞
Blockaid 追踪溯源发现,事件关键源自 wasabideployer.eth 账户——该地址是 Wasabi PerpManager AccessManager 中唯一持有 ADMIN_ROLE 的账户。
攻击者调用 deployer 的 EOA 地址进行 grantRole 授权,并取消延迟,瞬间将自部署的 orchestrator 合约升级为管理员身份。
“我们已经意识到相关问题并在积极调查中。为防风险,请用户暂停与 Wasabi 合约的任何交互,等待后续通告。”Wasabi Protocol 发布公告提醒广大用户。
随后,黑客通过 UUPS 机制将永续金库和 LongPool 合约升级为恶意代码,实现对金库资产的全额转移。
部署者密钥目前依然处于激活状态。受影响金库的 Wasabi 及 Spicy LP 份额代币已被标记为高风险,赎回价值接近归零。
Blockaid 指出,此次攻击的攻击者钱包、执行合约及策略字节码与 Wasabi 早前相关恶意活动高度吻合。
此次事件与 多起曾由管理员密钥失窃引发的安全事故极为相似,反映出单一 EOA 管理结构且缺乏多签或延时机制下的系统性风险。 PeckShield 统计显示,四条受影响公链损失总额已突破 500 万美元关口。
AI 黑客理论再度引发热议
与此同时,该事件距离本周二至周三期间接连发生的三起攻击仅数小时。BeInCrypto 早前已报道本周二的黑客事件连锁反应,其中包括:
- Sweat Economy 资金池“被盗” 346 万美元,实际为基金会接管而非黑客攻击。
- Base 公链上 Syndicate Commons 跨链桥损失 1,850 万枚 SYND 代币,约合 33 万至 40 万美元,资产随后跨链转移至以太坊。
- Aftermath Finance 永续合约协议发生安全事件,约 114 万 USDC 遭到盗取,项目方已紧急暂停协议运行。
在当前背景下,分析师们频频谈及 AI 风险,指出攻击工具与协议防御之间存在不对称动态。
同样围绕这一观点,开发者 Vitto Rivabella 提出了一项理论——朝鲜利用多年来窃取的 DeFi 数据,训练了一套专属 AI 模型。
他认为,这一模型如今已能自主实施攻击,协议资金被盗速度远超人工修复漏洞的效率。
“关于近期 DeFi 攻击的一个大胆阴谋论:朝鲜利用过去 10 年通过黑客攻击 DeFi 协议获取的大量数据,自主开发并训练了由国家资助的 AI 版本‘Mythos’。现在,他们只需任由这款 AI DeFi 黑客四处作案、疯狂套利,直到有人阻止他们为止。”Rivabella 如是写道。
无论近期一系列攻击是否由 AI 驱动,单一密钥管理员设置始终为攻击者留下了明显缺口。
